kubernetes - 端口 10250 上即将过期的 Kubelet 证书
问题描述
我对我们的一个 kubernetes 节点上的过期证书有疑问。检查在端口 10250 上使用的证书,结果告诉我证书将于 7 月 23 日到期:
我检查了 kubelet 服务使用的证书,它向我显示了以下信息:
我仔细检查了所有证书,我知道位于 /etc/kuberbetes/pki 以及 /var/lib/kubelet/pki。该位置上的所有证书均有效且不会过期。
有没有我在这里缺少的证书的另一个位置?
解决方案
您正在查看的kubelet-client-current.pem
是 Kubelet 将使用的客户端证书,通过 Kubernetes API 进行身份验证。
您正在寻找的服务器证书应该是那个/var/lib/kubelet/kubelet.crt
。
# openssl x509 -text -noout -in /var/lib/kubelet/pki/kubelet-client-current.pem | grep -A4 'X509v3 extensions'
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
# openssl x509 -text -noout -in /var/lib/kubelet/pki/kubelet.crt | grep -A4 'X509v3 extensions'
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
第一个用于验证客户端,后者用于验证服务器。
推荐阅读
- android - Android Studio/react-native 项目:无法删除 gradle 错误:未找到 ID 为“com.android.library”的插件
- php - PHP Curl POST 请求不起作用,但在 POSTMAN 中工作正常
- lambda - 在所有 lambda 函数中访问单个查询输出
- json - Powershell + REST API + 思科 Firepower
- function - 如何在 DART 中重新加载 api 调用?
- jenkins - 拉取请求通知器和 Webhook 冲突
- openstacksdk - 如果 IP 地址错误,Create_image 不会抛出错误
- c++ - 用不同的模板参数初始化模板类
- linux - 如何修改 Docker 权限异常
- reactjs - React Native TextInput 仅显示状态值